Esta es probablemente una pregunta novata PERO escúchame, ¿no es el punto de usar Nonce para protegerte de cosas como los scrappers (phpcurl scrappers, etc.)? Pero mi Nonce se imprime en la cabecera del documento así:
/* <![CDATA[ */
var nc_ajax_getpost = {
...stuff...
getpostNonce: "8a3318a44c"
};
/* ]]> */
Entonces, si estaba construyendo un scrapper rápido, solo obtendría el valor nonce de esa página y luego lo usaría en mi POST ... haciendo que todo el ejercicio de usar un Nonce sea inútil ...
¿Que me estoy perdiendo aqui?
Respuestas:
Los nonces son únicos para cada usuario conectado. No puede raspar nonces de un usuario conectado a menos que tenga sus cookies. Pero si tiene cookies de usuario, ya ha robado su identidad y puede hacer lo que quiera.
Los Nonces están destinados a proteger contra los usuarios que son engañados para que hagan algo que no querían hacer, haciendo clic en un enlace o enviando un formulario. Entonces, ellos mismos realizan esta acción (involuntariamente), no el atacante.
fuente
http://en.wikipedia.org/wiki/Cryptographic_nonce
"En ingeniería de seguridad, nonce es un número arbitrario que se usa solo una vez para firmar una comunicación criptográfica ... A menudo es un protocolo de autenticación aleatorio para garantizar que las comunicaciones antiguas no se puedan reutilizar en ataques de repetición".
La idea es detener el envío de datos repetidos. Usted crea un identificador único de uso único para usted, de modo que cuando envía datos, solo se puede hacer una vez. No tiene nada que ver con navegar por su sitio. Que es lo que hace el raspado del sitio. ¿Cómo diferenciarías entre un bot de raspado y un bot de arrastre (como Google)?
fuente